Câu Cá Trên Băng: Nút 'Connect' làm cạn ví của bạn
Tóm tắt: Ice Phishing không đánh cắp mật khẩu của bạn. Nó đánh cắp "Sự cho phép" của bạn. Bằng cách lừa bạn ký Phê duyệt Token (Token Approval), kẻ lừa đảo có thể rút cạn tài sản của bạn bất cứ lúc nào. Bài viết này giải thích chức năng 'Approve' và việc sử dụng Revoke.cash.
1. Khái niệm: Phê duyệt (Approve) vs Chuyển khoản (Transfer)
Trong Ethereum/EVM, các hợp đồng thông minh (như Uniswap) không thể chạm vào token của bạn trừ khi bạn cho phép chúng.
Có hai cách để tương tác:
- Transfer: "Gửi 10 USDT cho Bob" (Sự kiện một lần).
- Approve: "Cho phép Uniswap chi tiêu 1000 USDT từ ví của tôi" (Sự cho phép vĩnh viễn).
Lỗ hổng: Hầu hết các dApp yêu cầu "Phê duyệt Không giới hạn" (Unlimited Approval) để thuận tiện, giúp bạn không phải ký cho mỗi giao dịch. Kẻ lừa đảo khai thác điều này.
2. Cuộc tấn công: "Cập nhật Bảo mật"
Bạn nhận được email hoặc thấy liên kết trên Twitter: "OpenSea Security Update: Verify your wallet to prevent asset loss."
Bạn nhấp vào liên kết. Nó trông giống hệt OpenSea.
Bạn nhấn nút "Verify" (Xác minh).
Ví của bạn bật lên một yêu cầu giao dịch.
- Nó không nói "Send ETH".
- Nó nói: "SetApprovalForAll" hoặc "Approve WETH".
- Địa chỉ "Người chi tiêu" (Spender) là hợp đồng của hacker.
Cạm bẫy: Bạn nghĩ rằng mình đang đăng nhập hoặc xác minh danh tính. Thực ra, bạn đang ký một văn bản pháp lý nói rằng: "Tôi cho phép hacker này di chuyển tất cả NFT và WETH của tôi bất cứ lúc nào hắn muốn."
Chúng không ăn cắp ngay lập tức. Chúng đợi cho đến khi bạn gửi thêm tiền vào, rồi rút cạn tất cả một lần.
3. Cách đọc Giao dịch?
Trước khi nhấn nút "Confirm" (Xác nhận), hãy xem tab Data hoặc mô phỏng giao dịch.
Cờ Đỏ (Red Flags) 🚩
- Chức năng: SetApprovalForAll (Điều này trao quyền kiểm soát 100% bộ sưu tập NFT của bạn).
- Chức năng: Approve (Với một con số khổng lồ bên cạnh, ví dụ 1.1579e+59).
- Người chi tiêu (Spender): Hợp đồng không xác định (Kiểm tra trên Etherscan - Nó đã được xác minh chưa? Nó có tên là "Uniswap Router" không?).
4. Giải pháp: Revoke.cash
Nếu bạn nghi ngờ mình đã phê duyệt điều gì đó tồi tệ:
- Truy cập Revoke.cash.
- Kết nối ví của bạn (ban đầu ở chế độ chỉ đọc).
- Tìm kiếm "Phê duyệt Không giới hạn" (Unlimited Allowances) trên các hợp đồng lạ.
- Thu hồi (Revoke) ngay lập tức. Bạn sẽ phải trả một khoản phí gas nhỏ, nhưng nó sẽ cắt đứt kết nối với hacker.
Tìm hiểu thêm: Học cách đóng các "cửa hậu" này bằng hướng dẫn Cửa Hậu Ẩn. Cẩn thận với lừa đảo Nhiễm độc Địa chỉ, nơi bạn bị lừa tự gửi tiền đi.
Kết luận
Cụm từ hạt giống của bạn là chìa khóa két sắt. "Phê duyệt" là giấy ủy quyền. Bạn sẽ không đưa giấy ủy quyền tài khoản ngân hàng cho người lạ - vậy đừng đưa SetApprovalForAll cho một trang web ngẫu nhiên.
Sẵn Sàng Áp Dụng Kiến Thức Của Bạn Vào Thực Tế?
Bắt đầu giao dịch được hỗ trợ bởi AI một cách tự tin ngay hôm nay
Bắt ĐầuBài Viết Liên Quan
Nhiễm Độc Chuỗi Cung Ứng (Supply Chain Poison): Khi các bản cập nhật đáng tin cậy trở nên độc hại
Bạn không tải xuống bất cứ thứ gì lạ. Bạn chỉ cập nhật ứng dụng Ledger của mình... Và sau đó tiền biến mất. Sự kinh hoàng của cuộc tấn công chuỗi cung ứng.
Lá Chắn Giấy (The Paper Shield): Cách sao lưu Cụm từ Hạt giống đúng cách
Ảnh chụp màn hình là thảm họa. Đám mây là máy tính của người khác. Cách an toàn duy nhất để lưu trữ khóa riêng tư là 'thép' và 'giấy'.
Trò Lừa Dài Hạn (The Long Con): Tâm lý học đằng sau 'Mổ Lợn'
Cô ấy không nhắn tin nhầm số. Và cô ấy không yêu bạn. Đi sâu vào 'Sha Zhu Pan', trò lừa đảo tiền điện tử tàn bạo nhất, và cách phát hiện kịch bản.